Privacy Shield und das Schrems II Urteil
Dass europäische Unternehmen verpflichtet sind, die Vorschriften der Datenschutz-Grundverordnung (DSGVO) einzuhalten, ist nach nun mittlerweile über zweijähriger Geltung den allermeisten bekannt. Das Thema Datenschutz ist in den öffentlichen Meldungen seither ein regelmäßiges Thema, wie auch aktuell aufgrund eines Urteils des Europäischen Gerichtshofs (EuGH). Besonderes Interessant dürfte das Urteil für Nutzer von Anbietern außerhalb der EU sein. Relevanz hat es jedoch nicht nur für amerikanische Anbieter wie Goolge, Webflow oder Squarespace, sondern auch für Anbieter wie dem israelischen Wix oder dem kanadischen Shopify.
Die Überschriften beinhalten meist „Privacy Shield“, „Schrems-Urteil“ oder den Schutz vor dem Datenabfluss in das Ausland.
Doch was genau ist damit gemeint?
Die Übermittlung von personenbezogenen Daten innerhalb der europäischen Union wird durch die europäischen und nationalen Vorschriften geregelt. Doch nicht immer beschränkt sich eine Datenübermittlung auf den europäischen Markt. Durch die globale Vernetzung stehen Server häufig außerhalb der EU. Die großen Social-Media-, Cloud- und Suchmaschinen-Anbieter kommen aus den USA. Vergleichbare Anbieter aus der europäischen Union haben sich bisher oftmals nicht durchsetzen können.
Besonders in diesen Fällen findet eine Datenübermittlung in das Ausland statt. Als Datenschutzbeauftragter gilt es daher, alle Datenkanäle insbesondere auch Im Hinblick auf den Auslandsbezug zu überprüfen und die Betroffenen in einer Datenschutzerklärung entsprechend zu informieren.
Ausgangslage – von Safe Harbor bis Privacy Shield
Rechtlich stellt sich dann die Frage, wie es bei der Übermittlung von Daten aussieht, die nicht innerhalb der Europäischen Union bleiben, sondern in das außereuropäische Ausland übermittelt werden.
Zwischen der Europäischen Union und den Vereinigten Staaten wurde 2016 das sogenannte EU-U.S Privacy Shield beschlossen. Dies war notwendig, da die Vorgängerregelung „Safe-Harbor“ für ungültig erklärt wurde. Damals hatte der EuGH bereits 2015 in seinem „Schems I Urteil“ für einige Unsicherheit bei Unternehmen gesorgt. Datenübermittlungen, die sich auf das Safe-Harbor-Abkommen gestützt hatten, waren anschließend unzulässig.
Mit dem daraufhin abgeschlossenen Privacy Shield sollte anschließend ein angemessenes Datenschutzniveau erreicht werden. Ziel war es die Zulässigkeit der Datenübermittlung in die USA wiederherzustellen.
Auswirkungen des Urteils – Schrems II
Wie bereits das Safe Harbor Abkommen wurde das Privacy Shield und damit die zweite Datenschutzregelung der Europäischen Kommission mit den USA durch den EuGH für unzulässig erklärt. Die Übermittlung von personenbezogenen Daten, die sich auf das das Privacy Shield gestützt haben, sind somit ab sofort unzulässig. Grund dafür ist vor allem der, nach den Datenschützern und dem Urteil des EuGH, unzureichende Schutz der Betroffenen gegenüber der Einsichtnahme von amerikanischen Geheimdiensten. Von dem Urteil ausdrücklich nicht betroffen sind die Standardvertragsklauseln, die mit Anbietern aus Ländern außerhalb der EU häufig abgeschlossen werden. Anbieter wie Google oder Wix bieten solche Standardvertragsklauseln bereits an.
Unternehmen stehen nun, wie bereits im Jahr 2015, vor einer zu lösenden Aufgabe. Die ersten Reaktionen deutscher Datenschutzaufsichtsbehörden können, aus Sicht der Unternehmen, bisher nicht als positiv angesehen werden. In einer Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Maja Smoltzyk, werden alle verarbeitenden Stellen in Berlin dazu aufgefordert, alle personenbezogenen Daten nach Europa zu verlagern, die bisher in den USA gespeichert sind.
Das Urteil hat dabei nicht nur Auswirkungen auf den Datentransfer in die USA. So werde zukünftig ebenfalls, nach Angabe von Smoltzyk, der Datentransfer in andere Drittländer wie China, Russland oder Indien vor dem Hintergrund des Urteils zu prüfen sein. Bei der Pressemitteilung handelt es sich um eine erste Reaktion, die zukünftigen Meldungen sind daher genau zu beobachten.
Wie jetzt weiter vorgegangen werden sollte
Dieses Thema zeigt die Auswirkungen der europäischen Datenschutzregelungen. Datenschutz hört nicht an der Grenze zu der EU auf. Wie bereits nach den vergangenen beiden Urteilen, wird auch zukünftig wieder versucht werden, ein Abkommen zwischen der EU und den USA abzuschließen. Bis dieses dann in ein paar Monaten in Kraft ist, gilt es jedoch die Verarbeitungsvorgänge zu überprüfen und unter Umständen Maßnahmen zu treffen. Als Datenschutzbeauftragter ist es daher wichtig, die Verarbeitungsvorgänge zu kennen und die Folgen abschätzen zu können.
Sie möchten mehr über dieses Thema erfahren?
Sollten Sie bereits Daten in das Ausland übermitteln oder dies planen, gehen wir gern Risiken und Möglichkeiten der Verarbeitung mit Ihnen durch. Als Datenschutzbeauftragter für Unternehmen, aus den unterschiedlichsten Branchen, haben wir bereits langjährige Erfahrungen zu dem Thema Datenschutz und unterstützen Sie gerne. Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.
Verfasser: Frederik Sonnenburg, LL.M. (Wirtschaftsrecht)